AmazonEKS_CNI_Policy AmazonEKSClusterPolicy AmazonEKSFargatePodExecutionRolePolicy AmazonEKSForFargateServiceRolePolicy AmazonEKSServicePolicy AmazonEKSServiceRolePolicy AmazonEKSVPCResourceController AmazonEKSWorkerNodePolicy AWSServiceRoleForAmazonEKSNodegroup AmazonEBSCSIDriverPolicy AmazonEFSCSIDriverPolicy AmazonEKSLocalOutpostClusterPolicy AmazonEKSLocalOutpostServiceRolePolicy Atualizações da política

Políticas gerenciadas da AWS para o Amazon Elastic Kubernetes Service

Uma política gerenciada pela AWS é uma política independente criada e administrada pela AWS. As políticas gerenciadas pela AWS são criadas para fornecer permissões a vários casos de uso comuns a fim de que você possa começar a atribuir permissões a usuários, grupos e perfis.

Lembre-se de que as políticas gerenciadas da AWS podem não conceder permissões de menor privilégio para seus casos de uso específicos, pois elas estão disponíveis para todos os clientes da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente específicas para seus casos de uso.

Você não pode alterar as permissões definidas em políticas gerenciadas pela AWS. Se a AWS atualiza as permissões definidas em um política gerenciada pela AWS, a atualização afeta todas as identidades de entidades principais (usuários, grupos e perfis) às quais a política está vinculada. É mais provável que a AWS atualize uma política gerenciada pela AWS quando um novo AWS service (Serviço da AWS) é lançado ou novas operações de API são disponibilizadas para os serviços existentes.

Para mais informações, consulte Políticas gerenciadas pela AWS no Manual do usuário do IAM.

Política gerenciada da AWS: AmazonEKS_CNI_Policy

Você pode anexar a AmazonEKS_CNI_Policy às suas entidades do IAM. Antes de criar um grupo de nós do Amazon EC2, essa política deve ser anexada à função do IAM do nó, ou para uma função do IAM que seja usada especificamente pelo Amazon VPC CNI plugin for Kubernetes. Isso é para que ele possa realizar ações em seu nome. Recomendamos que você anexe a política a uma função que é usada apenas pelo plugin. Para obter mais informações, consulte Trabalhando com o complemento Amazon VPC CNI plugin for Kubernetes do Amazon EKS e Configuração do Amazon VPC CNI plugin for Kubernetes a fim de usar perfis do IAM para contas de serviço (IRSA).

Detalhes da permissão

Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.

ec2:*NetworkInterface e ec2:*PrivateIpAddresses: permite que o plug-in CNI da Amazon VPC execute ações, como o provisionamento de interfaces de rede elástica e de endereços IP para Pods, com a finalidade de fornecer um sistema de rede para aplicações executadas no Amazon EKS.
Ações de leitura do ec2: permite que o plug-in CNI da Amazon VPC execute ações, como a descrição de instâncias e de sub-redes, para visualizar a quantidade de endereços IP disponíveis nas sub-redes da Amazon VPC. O plug-in CNI da VPC pode usar os endereços IP disponíveis em cada sub-rede para escolher as sub-redes com a maior quantidade de endereços IP disponíveis para usar ao criar uma interface de rede elástica.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKS_CNI_Policy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AmazonEKSClusterPolicy

Você pode anexar AmazonEKSClusterPolicy às entidades do IAM. Antes de criar um cluster, é necessário ter um perfil do IAM de cluster com essa política anexada. Os clusters do Kubernetes gerenciados pelo Amazon EKS fazem chamadas para outros serviços da AWS em seu nome. Eles fazem isso para gerenciar os recursos que você usa com o serviço do.

Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.

autoscaling – Leia e atualize a configuração de um grupo do Auto Scaling. Essas permissões não são usadas pelo Amazon EKS, mas permanecem na política para compatibilidade com versões anteriores.
ec2 – Trabalhe com volumes e recursos de rede associados aos nós do Amazon EC2. Isso é necessário para que o ambiente de gerenciamento do Kubernetes possa unir instâncias a um cluster e provisionar e gerenciar dinamicamente os volumes do Amazon EBS solicitados por volumes persistentes do Kubernetes.
elasticloadbalancing – Trabalhe com o Elastic Load Balancers e adicione nós a eles como destinos. Isso é necessário para que o ambiente de gerenciamento do Kubernetes possa provisionar dinamicamente os Elastic Load Balancers solicitados por serviços do Kubernetes.
iam – Crie uma função vinculada a serviço. Isso é necessário para que o ambiente de gerenciamento do Kubernetes possa provisionar dinamicamente os Elastic Load Balancers que são solicitados por serviços do Kubernetes.
kms – Leia uma chave de AWS KMS. Isso é necessário para que o ambiente de gerenciamento do Kubernetes seja compatível com a criptografia de segredo dos segredos do Kubernetes armazenados em etcd.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSClusterPolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AmazonEKSFargatePodExecutionRolePolicy

Você pode anexar AmazonEKSFargatePodExecutionRolePolicy às entidades do IAM. Antes de criar um perfil do Fargate, você deverá criar uma função de execução de Pod do Fargate e anexar essa política a ela. Para obter mais informações, consulte Criar uma função de execução de Pod do Fargate e Perfil do AWS Fargate.

Essa política concede à função as permissões que fornecem acesso a outros recursos de serviço do AWS necessários para executar Pods do Amazon EKS no Fargate.

Detalhes da permissão

Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.

ecr: permite que pods em execução no Fargate extraiam imagens de contêiner armazenadas no Amazon ECR.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSFargatePodExecutionRolePolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AmazonEKSForFargateServiceRolePolicy

Não é possível anexar AmazonEKSForFargateServiceRolePolicy às suas entidades do IAM. Esta política é anexada a uma função vinculada ao serviço que permite ao Amazon EKS realizar ações em seu nome. Para obter mais informações, consulte AWSServiceRoleforAmazonEKSForFargate.

Esta política concede permissões necessárias ao Amazon EKS para executar tarefas do Fargate. A política só é usada se você tiver nós Fargate.

Detalhes da permissão

Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.

ec2 –Crie e exclua interfaces de rede elástica e descreva os recursos e interfaces de rede elástica. Isso é necessário para que o serviço Amazon EKS Fargate possa configurar a rede VPC necessária para Fargate Pods.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSForFargateServiceRolePolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AmazonEKSServicePolicy

Você pode anexar AmazonEKSServicePolicy às entidades do IAM. Os clusters criados antes de 16 de abril de 2020 exigiam que você criasse uma função do IAM e associasse essa política à ela. Os clusters criados em ou após 16 de abril de 2020 não exigem que você crie uma função, nem que você atribua essa política. Quando você cria um cluster usando uma entidade principal do IAM que tem a permissão da iam:CreateServiceLinkedRole, a função vinculada ao serviço do AWSServiceRoleforAmazonEKS é recriada automaticamente para você. A função vinculada ao serviço tem oPolítica gerenciada da AWS: AmazonEKSServiceRolePolicyAnexado a ele.

Essa política permite que o Amazon EKS crie e gerencie os recursos necessários para operar clusters do Amazon EKS.

Detalhes da permissão

Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.

eks: atualizar a versão do Kubernetes do cluster depois que você iniciar uma atualização. Essa permissão não é usada pelo Amazon EKS, mas permanece na política para compatibilidade com versões anteriores.
ec2 – Trabalhe com interfaces de rede elástica e outros recursos e etiquetas de rede. Isso é exigido pelo Amazon EKS para configurar redes que facilitem a comunicação entre nós e o ambiente de gerenciamento do Kubernetes.
route53 – Associe uma VPC a uma zona hospedada. Isso é exigido pelo Amazon EKS para habilitar a rede privada de endpoint para o servidor de API de cluster do Kubernetes.
logs - Eventos de log Isso é necessário para que o Amazon EKS possa enviar logs do ambiente de gerenciamento do Kubernetes para o CloudWatch.
iam – Crie uma função vinculada a serviço. Isso é necessário para que o Amazon EKS crie a função vinculada ao serviço AWSServiceRoleForAmazonEKS em seu nome.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSServicePolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AmazonEKSServiceRolePolicy

Não é possível anexar AmazonEKSServiceRolePolicy às suas entidades do IAM. Esta política é anexada a uma função vinculada ao serviço que permite ao Amazon EKS realizar ações em seu nome. Para ter mais informações, consulte Permissões de função vinculada ao serviço para o Amazon EKS. Quando você cria um cluster usando uma entidade principal do IAM que tem a permissão da iam:CreateServiceLinkedRole, a função vinculada ao serviço do AWSServiceRoleforAmazonEKS é recriada automaticamente para você e essa política é anexada a ela.

Esta política permite que a função vinculada ao serviço chameAWSServiços da em seu nome.

Detalhes da permissão

Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.

ec2: crie e descreva as interfaces de rede elástica e as instâncias do Amazon EC2, o grupo de segurança de cluster e VPC que são necessários para a criação de um cluster.
iam – Lista todas as políticas gerenciadas anexadas a uma função do IAM. Isso é necessário para que o Amazon EKS possa listar e validar todas as políticas gerenciadas e permissões necessárias para criar um cluster.
Associar uma VPC a uma zona hospedada: isso é necessário para que o Amazon EKS habilite a rede privada de endpoint para o servidor de API de cluster do Kubernetes.
Registrar evento em log: isso é necessário para que o Amazon EKS possa enviar logs do ambiente de gerenciamento do Kubernetes para o CloudWatch.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSServiceRolePolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AmazonEKSVPCResourceController

É possível anexar a política AmazonEKSVPCResourceController a suas identidades do IAM. Se você estiver usando grupos de segurança para Pods, anexe essa política ao Função do IAM do cluster do Amazon EKS para que ele realize ações em seu nome.

Esta política concede à função de cluster permissões para gerenciar interfaces de rede elástica e endereços IP para nós.

Detalhes da permissão

Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.

ec2: gerenciar interfaces de rede elástica e endereços IP para compatibilidade com grupos de segurança de Pod e nós do Windows.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSVPCResourceController no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AmazonEKSWorkerNodePolicy

Você pode anexar a AmazonEKSWorkerNodePolicy às suas entidades do IAM. É preciso anexar essa política a um perfil do IAM do nó que você especifica ao criar nós do Amazon EC2 que permitem ao Amazon EKS realizar ações em seu nome. Se você criar um grupo de nós usandoeksctl, ele cria a função do nó do IAM e anexa essa política à função automaticamente.

Esta política concede aos nós Amazon EKS Amazon EC2 permissões para se conectar a clusters do Amazon EKS.

Detalhes da permissão

Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.

ec2 – Leia o volume da instância e as informações de rede. Isso é necessário para que os nós do Kubernetes possam descrever informações sobre os recursos do Amazon EC2 necessários para que o nó faça parte do cluster do Amazon EKS.
eks: opcionalmente, descreva o cluster como parte do bootstrapping do nó.
eks-auth:AssumeRoleForPodIdentity: permita a recuperação de credenciais para workloads do EKS no nó. Essa API é necessária para o EKS Pod Identity funcionar corretamente.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSWorkerNodePolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AWSServiceRoleForAmazonEKSNodegroup

Não é possível anexar AWSServiceRoleForAmazonEKSNodegroup às suas entidades do IAM. Esta política é anexada a uma função vinculada ao serviço que permite ao Amazon EKS realizar ações em seu nome. Para ter mais informações, consulte Permissões de função vinculada ao serviço para o Amazon EKS.

Esta política concede oAWSServiceRoleForAmazonEKSNodegrouppermissões de função que permitem que ele crie e gerencie grupos de nós do Amazon EC2 em sua conta.

Detalhes da permissão

Esta política inclui as permissões abaixo, que permitem ao Amazon EKS concluir as tarefas a seguir.

ec2 – Trabalhe com grupos de segurança, etiquetas e modelos de execução. Isso é necessário para grupos de nós gerenciados pelo Amazon EKS habilitar a configuração de acesso remoto. Além disso, os grupos de nós gerenciados do Amazon EKS criam um modelo de execução em seu nome. Isso serve para configurar o grupo do Amazon EC2 Auto Scaling que oferece suporte a cada grupo de nós gerenciados.
iam – Crie uma função vinculada a serviço e transmita uma função. Isso é exigido pelos grupos de nós gerenciados do Amazon EKS para gerenciar perfis de instância para a função que está sendo passada ao criar um grupo de nós gerenciados. Esse perfil de instância é usado pelas instâncias do Amazon EC2 executadas como parte de um grupo de nós gerenciados. O Amazon EKS precisa criar funções vinculadas ao serviço para outros serviços, como os grupos do Amazon EC2 Auto Scaling. Essas permissões são usadas na criação de um grupo de nós gerenciados
autoscaling – Trabalhe com grupos de Auto Scaling de segurança. Isso é exigido pelos grupos de nós gerenciados do Amazon EKS para gerenciar o grupo do Amazon EC2 Auto Scaling que apoia cada grupo de nós gerenciados. Ele também é usado para compatibilidade com as funcionalidades, como remover Pods quando os nós são encerrados ou reciclados durante atualizações de grupo de nós.

Para visualizar a versão mais recente do documento de política JSON, consulte AWSServiceRoleForAmazonEKSNodegroup no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AmazonEBSCSIDriverPolicy

A política AmazonEBSCSIDriverPolicy permite que o driver da Container Storage Interface (CSI) do Amazon EBS crie, modifique, anexe, desconecte e exclua volumes em seu nome. Ela também concede permissões ao driver EBS CSI para criar e excluir snapshots e listar suas instâncias, volumes e snapshots.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEBSCSIDriverServiceRolePolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada da AWS: AmazonEFSCSIDriverPolicy

A política AmazonEFSCSIDriverPolicy permite que a Container Storage Interface (CSI) do Amazon EFS crie e exclua pontos de acesso em seu nome. Ela também concede ao driver CSI do Amazon EFS permissões para listar os sistemas de arquivos, destinos de montagem e zonas de disponibilidade do Amazon EC2 dos seus pontos de acesso.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEFSCSIDriverServiceRolePolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada pela AWS: AmazonEKSLocalOutpostClusterPolicy

Essa política pode ser anexada a entidades do IAM. Antes de criar um cluster local, é necessário anexar essa política à função do cluster. Os clusters do Kubernetes gerenciados pelo Amazon EKS fazem chamadas para outros serviços da AWS em seu nome. Eles fazem isso para gerenciar os recursos que você usa com o serviço do.

A política AmazonEKSLocalOutpostClusterPolicy inclui as seguintes permissões:

ec2: permissões necessárias para que as instâncias do Amazon EC2 se integrem com êxito ao cluster como instâncias do ambiente de gerenciamento.
ssm: permite a conexão do Amazon EC2 Systems Manager com a instância do ambiente de gerenciamento, que é usada pelo Amazon EKS para se comunicar e gerenciar o cluster local na sua conta.
logs: permite que as instâncias enviem logs para o Amazon CloudWatch.
secretsmanager: permite que as instâncias obtenham e excluam dados de bootstrap para as instâncias do ambiente de gerenciamento com segurança no AWS Secrets Manager.
ecr: permite que Pods e contêineres em execução nas instâncias do ambiente de gerenciamento extraiam imagens de contêiner armazenadas no Amazon Elastic Container Registry.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSLocalOutpostClusterPolicy no Guia de referência de políticas gerenciadas da AWS.

Política gerenciada pela AWS: AmazonEKSLocalOutpostServiceRolePolicy

Não é possível anexar essa política a suas entidades do IAM. Quando você cria um cluster usando uma entidade principal do IAM que tem a permissão iam:CreateServiceLinkedRole, o Amazon EKS recria automaticamente a função vinculada ao serviço AWSServiceRoleforAmazonEKSLocalOutpost para você e anexa essa política a ela. Essa política permite que a função vinculada ao serviço chame produtos da AWS em seu nome para clusters locais.

A política AmazonEKSLocalOutpostServiceRolePolicy inclui as seguintes permissões:

ec2: permite que o Amazon EKS trabalhe com segurança, com a rede e com outros recursos para iniciar e gerenciar com êxito instâncias do ambiente de gerenciamento na sua conta.
ssm: permite a conexão do Amazon EC2 Systems Manager com a instância do ambiente de gerenciamento, que é usada pelo Amazon EKS para se comunicar e gerenciar o cluster local na sua conta.
iam: permite que o Amazon EKS gerencie o perfil de instância associado às instâncias do ambiente de gerenciamento.
secretsmanager: permite que o Amazon EKS coloque dados de bootstrap para as instâncias do ambiente de gerenciamento no AWS Secrets Manager para que ele possa ser referenciado com segurança durante o bootstrapping da instância.
outposts: permite que o Amazon EKS obtenha informações do Outpost de sua conta para lançar com êxito um cluster local em um Outpost.

Para visualizar a versão mais recente do documento de política JSON, consulte AmazonEKSLocalOutpostServiceRolePolicy no Guia de referência de políticas gerenciadas da AWS.

Atualizações do Amazon EKS para políticas gerenciadas pela AWS

Visualize detalhes sobre atualizações em políticas gerenciadas pela AWS para o Amazon EKS, desde que este serviço começou a monitorar essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS na página Histórico de documentos do Amazon EKS.

Alteração	Descrição	Data
AmazonEKS_CNI_Policy: atualização para uma política existente	O Amazon EKS adicionou novas permissões `ec2:DescribeSubnets` para permitir que o Amazon VPC CNI plugin for Kubernetes veja a quantidade de endereços IP disponíveis em suas sub-redes da Amazon VPC. O plug-in CNI da VPC pode usar os endereços IP disponíveis em cada sub-rede para escolher as sub-redes com a maior quantidade de endereços IP disponíveis para usar ao criar uma interface de rede elástica.	4 de março de 2024
AmazonEKSWorkerNodePolicy: atualização para uma política existente	O Amazon EKS adicionou novas permissões para permitir EKS Pod Identities. O Amazon EKS Pod Identity Agent usa o perfil de nó.	26 de novembro de 2023
Lançamento do AmazonEFSCSIDriverPolicy.	A AWS apresentou o `AmazonEFSCSIDriverPolicy`.	26 de julho de 2023
Permissões adicionadas para AmazonEKSClusterPolicy.	A permissão `ec2:DescribeAvailabilityZones` foi adicionada para permitir que o Amazon EKS obtenha os detalhes da AZ durante a descoberta automática de sub-redes ao criar balanceadores de carga.	7 de fevereiro de 2023
Condições da política atualizadas em Amazon BSCSIdriverPolicy.	Foram removidas as condições de política inválidas com caracteres curingas no campo de chave `StringLike`. Também foi adicionada uma nova condição `ec2:ResourceTag/kubernetes.io/created-for/pvc/name: "*"` a `ec2:DeleteVolume`, que permite que o driver da CSI do EBS exclua volumes criados pelo plug-in em árvore.	17 de novembro de 2022
Adicionadas permissões a AmazonEKSLocalOutpostServiceRolePolicy.	Adicionados `ec2:DescribeVPCAttribute`, `ec2:GetConsoleOutput` e `ec2:DescribeSecret` para permitir melhor validação de pré-requisitos e controle gerenciado do ciclo de vida. Também foram adicionados `ec2:DescribePlacementGroups` e `"arn:aws:ec2:::placement-group/*"` a `ec2:RunInstances` para permitir controle de colocação das instâncias do Amazon EC2 do ambiente de gerenciamento no Outposts.	24 de outubro de 2022
Atualize as permissões do Amazon Elastic Container Registry em AmazoneKSLocalOutpostClusterPolicy.	Movida a ação `ecr:GetDownloadUrlForLayer` de todas as seções de recurso para uma seção com escopo definido. Adicionado o recurso `arn:aws:ecr:::repository/eks/`. Removido o recurso `arn:aws:ecr:::repository/eks/eks-certificates-controller-public`. Esse recurso é coberto pelo recurso `arn:aws:ecr:::repository/eks/` adicionado.	20 de outubro de 2022
Permissões adicionadas à AmazonEKSLocalOutpostClusterPolicy.	Adicionado o repositório do Amazon Elastic Container Registry `arn:aws:ecr:::repository/kubelet-config-updater` para que as instâncias do ambiente de gerenciamento do cluster possam atualizar alguns argumentos `kubelet`.	31 de agosto de 2022
Apresentada a AmazonEKSLocalOutpostClusterPolicy.	A AWS apresentou o `AmazonEKSLocalOutpostClusterPolicy`.	24 de agosto de 2022
Apresentada a AmazonEKSLocalOutpostServiceRolePolicy.	A AWS apresentou o `AmazonEKSLocalOutpostServiceRolePolicy`.	23 de agosto de 2022
Introdução de AmazonEBSCSIDriverPolicy.	A AWS apresentou o `AmazonEBSCSIDriverPolicy`.	4 de abril de 2022
Adição de permissões a AmazonEKSWorkerNodePolicy.	Adição de `ec2:DescribeInstanceTypes` para habilitar AMIs otimizadas para do Amazon EKS que podem detectar propriedades em nível de instâncias automaticamente.	21 de março de 2022
Permissões adicionadas para AWSServiceRoleForAmazonEKSNodegroup.	A permissão `autoscaling:EnableMetricsCollection` foi adicionada para que o Amazon EKS possa habilitar a coleta de métricas.	13 de dezembro de 2021
Permissões adicionadas para AmazonEKSClusterPolicy.	Permissões `ec2:DescribeAccountAttributes`, `ec2:DescribeAddresses` e `ec2:DescribeInternetGateways` adicionadas para permitir que o Amazon EKS crie uma função vinculada ao serviço para um Network Load Balancer.	17 de junho de 2021
O Amazon EKS passou a monitorar as alterações.	O Amazon EKS passou a controlar as alterações para as políticas gerenciadas da AWS.	17 de junho de 2021

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Função do IAM do conector

Solução de problemas